NAC Inverso un esquema optimizado de acceso a
- Slides: 31
NAC Inverso, un esquema optimizado de acceso a Internet José Carlos González Universidad de La Laguna S/C de Tenerife Jornadas Técnicas de Red. IRIS 2009 Santiago de Compostela, 23 -27 de noviembre de 2009
Agenda • La ULL • Problemática • Solución planteada • Ventajas • Implantación • La seguridad integrada
La ULL • Nace en 1792. • Oficial en 1816. • 24. 000 Alumnos. • 1. 800 Profesores. • 800 Empleados. • 57 Titulaciones. • 12 Programas Postgrado. • 19 Máster. • 17 Expertos. • 62 Doctorados
La ULL • 4 Campus. • 26 Edificios. • 14. 000 Tomas de Red. • 8. 000 Usuarios LAN. • 2. 500 Extensiones Vo. IP. • 2 CPD. • 350 Switches Acceso • 60 Routers / Distribución • 16 Routers / Core • 380 Puntos de Acceso Wifi
La ULL WIFI VPN Intern et Usuar ios Ro jos Usuar ios Az Servid ores CSS ules + To. IP
Problemática • Acceso libre a Internet no permitido pero si deseado • “Estos de informática no nos dejan trabajar” • Vulnerabilidades de Virus, Troyanos y Botnets • “ 6000 ordenadores a disposición de los hackers con una conexión a Internet y una capacidad de proceso atractivos” • Gestión de reglas y objetos en el firewall perimetral • “El CAU acaba usando la herramienta de gestión del firewall” • Avisos del CERT • “¿Cómo encuentro al usuario? ” Ip pública que pertenece a un pool de NAT sobre redes privadas con direccionamiento dinámico por DHCP con leasing de 4 horas con tomas de red con uso compartido profesor / alumnos con miniswitches.
Servicios TIC • Seguridad • Estabilidad • Homogeneidad • Control • FW Restrictivo ¿ o c In ? s Usuarios TIC • Libertad • Movilidad • Interoperabilidad • Accesibilidad • FW Permisivo p m t a e l ib
Flujos de Información WIFI VPN Usuar Intern et ios Ro jos Usuar ios Az Servid ores CSS ules + To. IP
Acceso de Usuarios desde Internet Acceso de Usuarios hacia Internet Movilidad de Usuarios WIFI Detección de Ataques Acceso a Servicios Personales Acceso a Servicios Institucionales PERMIT ANY Administración
PERMIT ANY LOG El firewall se convierte en un logger bastante “caro” Dejamos todo el trabajo para el análisis “Post-mortem”
Acceso de Usuarios desde Internet VPN - SSL Acceso de Usuarios hacia Internet Movilidad de Usuarios - WIFI NAC Detección de Ataques IDP Acceso a Servicios Personales Acceso a Servicios Institucionales Administración NSM
VPN - SSL NAC IDP NSM Acceso de Usuarios hacia Internet Acceso a Servicios Personales Acceso a Servicios Institucionales NAC INVERSO
Solución Planteada • Trasladar puertos de servicio poco usados al NAC. “El firewall se modifica pocas veces y sus reglas son más claras” • Menú de selección de servicio por sessión. “El usuario tiene acceso a todo pero no está disponible hasta que no lo solicita” • Unificación de acceso cableado y Wi. Fi. “Un mismo perfil de acceso unifica el origen permitiendo la total movilidad”. El acceso a los recursos internos y a los externos se unifica. Roaming Wifi <-> Cableado • Unificación de flujos. El perfil de acceso se aplica en todos los flujos sin necesidad de duplicar reglas.
ICQ Server WIFI VPN Intern et Juan, y quiero hacer ICQ Usuar Permit juan ICQ ios Ro jos Usuar ios Az ules + To. IP CSS ¿Quién eres? ¿Qué quieres? Servid ores CSS
WIFI VPN Usuar Intern et ios Ro jos Usuar ios Az CSS Servid ores CSS ules + To. IP
Ventajas de la solución Las reglas sólo se cargan en el firewall cuando son necesarias y sólo para el usuario que las demanda 2000 usuarios con ip fija accediendo a 9 perfiles generan: 18. 000 reglas 2000 usuarios generan 700 usuarios simultáneos accediendo a un perfil seleccionado: 700 reglas
Ventajas de la solución Movilidad Fijo-Wifi (con Roaming) de los usuarios, el perfil está asociado al usuario y no al puesto ni a la vlan.
Identificación de avisos CERT ¿Quién tenía el acceso ssh activado ayer a las 14: 50? Juan desde 10. 1. 2. 3 Pedro desde 10. 4. 5. 6 Y Federico desde 10. 6. 3. 2
Identificación de avisos CERT
Gestión Delegada en LDAP El menú de servicios se pinta en función de los atributos del usuario en el LDAP Policy Server AAA Server Fácil delegación de la administración de perfiles a un CAU para una atención directa a los usuarios
Orientado a Tipos de Usuarios Ou=“Investigador” Ou=“Alumno” Ou=“Dirección” Ou=“Gestión Universitaria” Ou=“BBTK” Ou=“Doctorandos”
Orientado a Servicios Ou=“VPN” Ou=“Mensajería Instantánea” Ou=“P 2 P” Ou=“Servicios Multimedia” Ou=“Conexión a Sistemas Remotos” Ou=“Transferencia de Ficheros”
Fácil escalado de servicios A. Acceso a Sistemas Remotos Telnet(23), ssh(22), Citrix(1494), Rdp(3389) A. B. C. D. Sistemas Telnet(23) SSH Ssh(22) Citrix(1494) Rdp(3389)
Fácil introducción en la red Para cada flujo de tráfico y puerto de comunicaciones podemos especificar si el tráfico debe estar autenticado. La implantación puede ser muy granular y progresiva.
¿Merece la pena gestionar la restricción? El usuario piensa, “si me autentico, saben quien soy y que quiero hacer” “seleccionaré justo lo que vaya a necesitar”
Opción 1: Dejo mi carretera libre con carteles de límite de velocidad sin Opción 2: De vez en cuando pongo control y cuando hay un incidente algunos coches de policía para busco bomberos, policía, ambulancias, intimidar a los infractores, sólo tengo Opciónobras 3: Colocar un radar fijo y públicas, etc. efectividad mientras se mira. además dejar un par de correos por “ahí” indicando que hay un radar y que está puesto a 80 Km/h aunque no controle la velocidad. “El acceso LIBRE AUTENTICADO es suficientemente restrictivo y seguro”
Acceso por Servicio sin restricción
VPN, ¿Cómo? Doble autenticación o Federación. IF-MAP Servid VPN ores Internet NAC Cableado Wifi
La integración total de la seguridad IF-MAP Server DNS/DHCP/IPAM NAC IF-MAP VPN FW IF-MAP Clientes DNS/DHCP IPAM Routers IDP
Gracias por su atención José Carlos González jgonzal@ull. es
- Sinonimia y antonimia
- Inverso aditivo
- Proporzioni sopra cento
- Diferencia entre licuación y condensacion
- Inverso multiplicativo de una fracción
- Teorema inverso de pitagoras
- Inverso aditivo en fracciones
- Que son los numeros enteros
- Carnot inverso
- Conformado por embutido
- Qual dos seguintes números está mais próximo de 1
- Aislamiento parenteral
- Una spezzata semplice di tre lati
- Big chill universo
- Desvanecido inverso
- Inverso de 0,25
- é um fenômeno inverso ao da pleiotropia:
- Azioni riflesse
- Calcular rumbo inverso
- Inverso sumativo
- Vendaje en espiral con inverso
- Reflexo miotatico inverso
- Inverso divisor
- Decadimento beta inverso
- Sistema somatomotor
- Problemi con frazioni
- Rumbo y azimut
- Ciclo inverso de carnot
- Analisis inverso ejercicios
- Agonistas
- Mevyt virtual
- Mi mmantenimiento